presonus
May 26, 2023
view2942
view10
0
Goto Top

Infektion ?

GermanQuestionSecurity
Hallo Zusammen,
nachdem ich ein Passwort bei einem M365 Mailkonto geändert habe,
gingen die Fehlanmeldungen des Kontos hoch.
Der User hat dieses auch auf seinem privaten Rechner benutzt, bevor der Firmenlaptop da war.
Ich vermute, dieser ist irgendwie infiziert und jetzt versucht man das via Brute Force wieder zu erlangen.
Wer kann helfen- wo sollte ich ansetzen ?
fehler
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-ID: 7311997988

Url: https://administrator.de/contentid/7311997988

Printed on: August 31, 2024 at 22:08 o'clock

10 Comments
Latest comment
Goto Top
3063370895
3063370895 May 26, 2023 updated at 09:29:36 (UTC)
Goto Top
Hi,

betroffenen Rechner neu installieren und Passwörter ändern.

-Thomas
heart1
presonus
presonus May 26, 2023 at 09:47:14 (UTC)
Goto Top
steht die Frage im Raum- welcher von beiden Rechnern der Übeltäter ist.
Problem- der Rechner steht in Italien.
Spirit-of-Eli
Spirit-of-Eli May 26, 2023 updated at 09:58:07 (UTC)
Goto Top
Moin,

sind die anmeldeversuche von der selben Adresse?
Ich vermute eher das auf einem gerät halt noch ein login mit alten credentials versucht wird.

Edit: erübrigt sich ja mit dem Screenshot. Sorry.
Ich würde den Rechner platt machen und 2FA aktivieren.

Gruß
Spirit
heart1
TwistedAir
TwistedAir May 26, 2023 at 11:20:49 (UTC)
Goto Top
Zitat von @presonus:

steht die Frage im Raum- welcher von beiden Rechnern der Übeltäter ist.
Problem- der Rechner steht in Italien.

Im Zweifelsfall beide! Wobei dein Einflussbereich sich nur auf das Firmenlaptop beschränkt. Bei privaten Geräten kannst du den Eigentümer nur eindringlich Bitten sein Gerät neu auf zu setzten - durchsetzen kannst du es nicht. Ist halt sein Eigentum. Das ist einer der Nachteile von BYOD.

Meine Vermutung ist auch, dass die Credentials für das Microsoft-Konto von einem der Rechner abgegriffen wurden und nun im Umlauf sind. Da helfen nur starke Passwörter und 2FA, um zu verhindern, dass ein "böser Bube" Zugriff bekommt. Dass irgendwer versucht sich an ein Konto anzumelden, wirst du nicht verhindern können, da die Cloud-Anwendung nicht in deinem Einflussbereich liegt (anders als bei einer on-prem-Infrastruktur, wo eine Firewall IPs aus z.B. China ausschließen könnte).

Gruß
TA
presonus
presonus May 26, 2023 at 11:33:24 (UTC)
Goto Top
bei pwned isses jedenfalls noch nicht gelistet.
CypH3r-LE
CypH3r-LE May 30, 2023 at 14:27:24 (UTC)
Goto Top
Servus,

Laut screener kommen die Fehler aber von 3 Nutzern, oder sehe ich das falsch?

@presonus
  • Hast du nur 1 PW geändert oder von mehreren?
  • Was war der Grund für die Änderung?

Die "alte cred" Theorie sehe ich erstmal einleuchtender, da du das PW geändert hast. (frei dem Motto "Wenn man Huf geklapper hört, denk an Pferde nicht an Zebras")
presonus
presonus Jun 05, 2023 at 08:29:52 (UTC)
Goto Top
wir hatten die Maildomain von einem englischen M365 Partner auf einen deutschen Partner umgestellt.
Dabei natürlich zwangsläufig das Passwort geändert.
aktuell sieht es so aus, als ob der Brute Force aufgegeben hat.
Seit 30.5. keine Fehlerlogins mehr zu sehen
CypH3r-LE
CypH3r-LE Jun 05, 2023 at 08:44:41 (UTC)
Goto Top
Servus,

Erstmal gut zu hören das nix mehr kommt.

Aber zum allgemeinen Verständnis, quasi die 3 Nutzer von ENG nach DE migriert (oder nur kopiert?) und dann von denen das PW geändert?

Kann es noch sein das ihr n SSO dazwischen habt welcher die alten PW's noch gecached hatte?
presonus
presonus Jun 05, 2023 at 09:35:24 (UTC)
Goto Top
woran erkennst Du, dass es 3 Nutzer sind?
CypH3r-LE
CypH3r-LE Jun 05, 2023 at 09:58:47 (UTC)
Goto Top
Zitat von @presonus:

woran erkennst Du, dass es 3 Nutzer sind?

Stimmt sind sogar 4 ... Am Screenshot aus deinem ersten Post, da sind 4 Namen die im sec. Tackt Fehler schmeißen.
GermanQuestionSecurity
Hotly discussed
DaniBye bye Microsoft Action PackDani - 2 Comments